IC-Card personalization process 



Publication number: 
Publication date: 
Xnventor: 
Applicant: 

Classification: 

- international: 

- european: 
Application number: 
Priority number(s): 



EP0957461 
1999-11-17 

HEURTEAUX FREDERIC M (FR) 
SAGEM (FR) 

G07F7/10; G07F7hO; (IPC1-7): G07F7/10 
G07F7/10D2; G07F7/10D2P 
EP1 9990400995 19990423 
FR1 99800061 07 19980514 




Also published as: 

FR2778768 (A1) 
EP0957461 (B1) 
ES2165724T (T3) 



Cited documents: 

EP01 52024 
FR2687816 
EP0730253 
DEI 9507044 
EP0361491 
more » 



Abstract of EP0957461 

Process involves giving the card a supervisory 
function, protecting (22) access to said function by 
verification of an access code, connection of a 
command terminal to the card and activation of the 
supervisory function for personalization of the card. 
The connection to the card Is tested (21) to see if it a 
first connection to the card and If so the supervisory 
access code (24) is revealed. 
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(54) Precede de person nalisation d*une carte a puce 



(57) Pour permeltre la personnallsaiion d*une carle 
a puce par un ulllisateur quelconque. on prevoil de mu> 
nrr \e systeme d' exploitation de la carle d'un micropro- 
gramme (1 9 - 23) qui est lance una seule fots el qui Gon- 
sisle a 6diler (24). notammenl sur Pecran d'un lecleur. 
un code secret d'acces a une foncUon de personnaiisa- 



lion de.la carte a puce Cette edition n'est effectuee 
qu'une fois. tors de la premiere utilisation, notamment 
lors de la premiere uliiisalion (19) en personnalisatlon 
de la carte a puce On montre qu'en agissanl ainsi. on 
simplifie grandement les syslemes de communication 
aux prestataires des codes secrets de personnaiisation 
utllisables avec des cartes a puce vierges 
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Description 

[0001] La presente invention a pour objet un procede 
de personnailsation d'une carte a puce qui est destine 
a etre mis en oeuvre par une personne quelconque Le 
but de rinventbn est ainsi de favoriser la diffusion des 
cartes a puce en facilitant la programmation, nolam- 
ment dans ie cadre d'applications multiples, du type Ja- 
va Card par exemple 

[0002] On connait dans le domaine de la carte a puce 
les fabricants de cartes a puce, les preslataires de ser- 
vices ou vendeurs de biens. et les utilisaleurs Un fabri- 
cant de cartes a puce, typlquement. realise ou fail r^a- 
User un circuit Integre comportant un microprocesseur. 
un ensemble de mSmolres k acces aleatoire program- 
mables et/ou non programmables. el une interface de 
sortie en liaison avec un connecteur, voire un circuit de 
transmission hertzienne Le fabricant est encore gene- 
ralement responsable de ia mise en place du module 
eleclronique ainsi conslitue dans une carte h puce ou 
plus genSralement dans un support h puce 
[0003] Quand on utilisera le terme carte a puce dans 
la suite de eel exf>ose, it faudra comprendre support k 
puce, ce dernier pouvanl avoir toutes les formes 
roqulses : la forme standard rfuno carte, la forme du je- 
ton rK>rmalisd ulitisable dans les telephones de type 
GSM, une cIS a puce utilisable dans un decodeur de 
television, voire celle d'une bague, etc 
[0004] Dans une memoire non volatile du circuit inte- 
gre. le fabricant installe par ailleurs un sysleme d'exploi- 
talion de ce circuit integre Ce systeme d'exploitalion est 
susceptible de gerer Tacces aux memoires a I'intertace 
de communication et aux peripheriques (horioge, comp- 
teur. ) du microprocesseur II est aussi capable de con- 
trdler I'ex^cution de certaines operations essentielles 
En general, pour des raisons de securite, le systeme 
d'exploilalion est ainsi capable d'effectuer, en interne, 
une comparaison d'un code secret presente sur Pinter- 
face avec un code secret memorise dans une memoire 
secrete En parttculier seul le microprocesseur peut ac- 
ceder k cette mdmoire secrete, sans possibtlite d'editer 
ce code secret sur un bus externa du circuit integre La 
verification, en cas de succes, autorise ia continuation 
de la procedure. 

[0005] Le systeme d'exploilalion possede aussi une 
fonction de supervision par taquelle il permet a un utiii- 
sateur de modifier le contenu de certaines memoires, 
notammenl d*une memoire programme en vue d*y ins- 
crire des instructions d'un programme, d'une application 
ou des parametres d'ulilisation de ce programme, no- 
tammenl des limites d'ulilisation d'une memoire de don- 
nees devolues a cette applicalion 
[0006] Le fabricant de cartes k puce Iransmet ensuite 
les cartes k puce a un prestataire de services par exem> 
pie une banque (ou k un vendeur de biens). Dans la 
suite de eel expose prestataire signifie tout organisme 
qui gere des transactions Le prestataire effeclue la per- 
sonnalisation de la carte en y enregistrant des program- 



mes specifiques k sa prestation de services Ainsi, ces 
programmes peuvent comporter. dans le cas d*une ap- 
plication pour une banque. des programmes permettant 
le retrait d'argent a un distributeur automalique de billets 

5 de banque. la visualisation d'un comple en banque cor- 
respondant a la carte, remission de viremenls bancai- 
res. el ainsi de suite En outre, les programmes de rap- 
plication du prestataire ccmportenl generalement un 
programme de securisation propre k ce prestataire 

10 Pour effectuer cette personnailsation. le prestataire doit 
avoir acces k la fonction de supervision 
[0007] Bien enlendu* il n'esl pas question que les pos- 
sibilites oflertes aux preslataires de modifier le contenu 
de la carte, soient ullerieurement offertes a rutiltsateur 

IS de la carte Si c'^tall le cas, on pourrait inreginer que cet 
utilisateur, particulierement habile lalslfierait les pro- 
grammes du prestataire au point de se f aire octroyer des 
avantages indus Pour empecher de tels agissements. 
un m6canisme double a 616 mis en place 

20 [0006] Dans une premiere phase, le mecanisme de 
personnalisatim necessile I'indication. par le prestatai- 
re, d'un code spScifique d*acces ci la personnailsation 
En cas de succes de la presentation de ce code speci- 
fique de personnailsation le prestataire a acc6s k des 

25 fonctions dobridees du syst6mQ d'oxploilation ot peut 
alors organiser en consequence ia memoire program- 
me et la memoire de donndes. pour des parties appli- 
catrves bien enlendu 

[0009] Dans une deuxi^me phase, lorsque le presta- 
30 taire a lermine les operations de personnalisatton de la 
carte, il peut verrouiller I'acces k cette fonction de per- 
sonnailsation En general, le verrouillage est de type ir- 
reversible II comporte par exemple le brulage d'un fu- 
sible ou le basculement dans un etat irr^ersible d'une 
35 bascule Eleclronique comportant des cellules de me- 
moire non volatiles ecrites dans un Etat (programme ou 
efface) alors qu'il n'existe pas de circuit dans la mdmoire 
pour les ecrire dans Tautre elat 

[0010] 11 est apparu nEcessaire, pour secu riser les 

40 operations de personnailsation, que le code d*acces k 
la fonction de supervision ou plus generalement k une 
fonction de personnailsation de la carte, soil secret et 
ne soil communique qu*avec certaines precautions au 
prestataire En pratique, on s'esl par exemple arrange 

45 pour que les cartes k puce arriveni dans la possession 
du prestataire par un moyen de transport, par exemple 
un camion de livraison. alors que les codes d'accSs se- 
crets d*acces arrivent k ce prestataire par un autre che- 
min, par exemple par la poste Pour la personnailsation, 

so ie prestataire attrlbue k chaque carte un code secret 
dacces. Par exemple il effeclue la correspondance car- 
te-code d'acces en recherchant dans une lisle les nu- 
mEros de serte des cartes a puce et en trouvant les co- 
des secrets indiques en regard de ces numeros de se- 

ss rie 

[0011] [I est connu par ailleurs que les codes d'acces 
ne soient meme pas utilisables tels quels lis sont alors 
chiffres et le prestataire doil utiliser une machine de de- 
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chtffrement pour pouvoir disposer, pour chaque carte in- 
dividuellemenl. de son code d'acces en supervision La 
machine de dechiffrement tail de son c6l^ Tobjel d'une 
convention enlre ie fabricant et le prestataire 
[CM)1 2] On congoi! que ce sysleme. lout en elanl se- 
curisa et dicte par ('experience, ne soil pas favorable k 
une diffusion massive des cartes a puce II n'est par 
exemple pas envtsageabte qu'i^ie petite societe. par 
exemple gestionnaire d*un parking municipal, adopte 
une maniere de faire aussi compliquee pour metlre ^ la 
disposition de peu d'utilisaleurs un service dont elle peut 
avoir par ailleurs une posstbilite d*empecher les abus en 
cas de deterioration du sysleme De ce fail, ces presta- 
taires utiiisent des procedes oii tes informations d'auto- 
risation ou d'utilisation du service sont m^morlsdes 
dans des cartes magneliques, bien plus faciles ^ pro- 
grammer L' inconvenient de ces cartes magnetiques est 
evidemmenl qu'elles sont. de ce tail meme. tr^s fragiles 
vis k vis de la fraude et que ces systemes ne sont vrai- 
menl pas sufllsamment resistanls 
[001 3] Dans I'invenlion. on a cherch^ d mettre a la dis- 
position des prestataires. prestataires quelconques no- 
tamment des pelites societes, des cartes a puce avec 
loute la security que ces cartes a puce comportenl, sans 
avoir a imposer a ces prestataires do rontrer dans une 
relation privilegiee avec un fabricant, sans avoir a sup- 
porter les contrainles des series de cartes pour lesquet- 
les en principe des machines de chiff rement ou dechif- 
frement des codes secrets sont pr^vues Le but de Tin- 
vent ion est de permellre la venle de cartes ^ puce vier- 
ges. a I'unile. avec une possibilile de programmation 
complete par Tulilisateur-preslataire sans avoir de 
compte a rendre S qui que ce soil Mais en proftlant bien 
entendu de fa s^curite d*acces en programmation 
[001 4] Selon rinvenlion. on alteint ce but tfune lagon 
tres simple On a prevu que. lout simplement. le code 
d'acces a une fonclron de supervision de la carte sera 
d'une part contenue dans la carte, et d'autre part 6dile 
lors d'une premiere liaison, ou lors de premieres liaisons 
de la carte avec un terminal de lecture de cetle carte 
Ce faisanl, ce code secrel est atnsi edite et peut etre 
disponible au profit du prestataire Celui-ci profite de 
I'apparilion fugitive de cetle edition pour le noler par 
ailleurs et le reutiiiser par la suite pour personnaliser sa 
carte aussi souvent qu'il le veut 
[001 5] On con^ott immediatement qu'un utiiisateur de 
carte veullie alors 6tre capable de modifier Iui-m6me sa 
propre carle, en lieu el place du prestataire precedent, 
pour y incorporer ou non les services d"un ou de plu- 
sieurs prestataires, sociele de gestion de parking, so- 
ciete de gestion d'une salle de cinema, ainsi de suite 
De ce fait I'utilisateur gerera ('aspect muUi-ulilisatton de 
sa carte a puce Bien enlondu, les possibilitos offertes 
d rutiitsateur lui-meme peuvenl dgalement dtre offertes 
au prestataire qui peut acheter de cetle fagon un lot de 
carles et les programmer en consequence Selon I'in- 
vention. seul peul modifier la potent ialile de la carte celui 
qui dispose du code d'acces en supervision -personna- 



iisation La supervision peut ainsi etre plus restreinte 
qu*une personnalisalion notammeni si. en personnali- 
satton. on aulor'se une partition de la m^moire. alors 
qu'en supervision on n'autorisera qu'une utilisation de 
5 partitions deja formees 

[0016] L'invenlion a done pour objel. un precede de 
personnalisation d'une carte a puce dans lequel 

on munil la carte a puce d'une for«:lion de supen^i- 
10 sion, 

on protege l*acc^s k cetle fonction par une verifica- 
tion d'un code d'acces. 

on relie un terminal de commande a la carte a puce, 
et 

IS . on met en oeuvre la fonction de supervision pour 
personnaliser la carte a puce. 

caracterlse en ce que 

20 . on teste une liaison de la carle a puce au terminal 
pour savoir s'il s'agil d'une premiere liaison, et 
si c'esi une premiere liaison, on revele un code d'ac* 
chs de supervision de la carte k puce 

25 [0017] L'invenlion sora mieux comprise a la lecture do 
la description qui suit et a I'examen des figures qui I'ac- 
compagnent Celles-ci ne sont donnees qu'a litre indi- 
catif et nullemenl limttatif de I'invenlion Les figures 
montrent: 

30 

Figure 1 : une carte ^ puce el un temiinal de lecture 
de cette carte a puce uUlisable pour mettre en 
oeuvre le precede de rinvenlion. 
Figure 2 : les principales etapes du procede de Tin- 
3S venllon, 

Figure 3: une representation sch^matrque d'un 
perfectionnement du procddd selon rinvenlion 

[0018] La figure 1 monlre une carte a puce 1 et un 
40 lecteur 2 de cartes a puce ulilisable pour mettre en 
oeuvre le procede de rinvenlion La puce de la carte 1 
comporte d'une maniere classique, un microprocesseur 

3 en reiatbn par rintermSdiaire d'un ou de plusieurs bus 

4 de commande. d'adresses, et de donn^es» avec une 
•fs Interface d'entree sortie 5 (par exemple tout simplement 

un connecleur normalise), une memoire de travail 6. 
une m6moire programme 7, une m6moire de donnees 
B el une mSmoire 9 contenant le sysleme d'exploilalion 
[0019] D'une manldre habituelte: la memoire 6 sera 

so constituee de registres volattles munis de cellules m^- 
moires de lype slatique (6venluellement dynamique) 
Les memoires 7 et 8 seront norma lemenl des memoires 
non volatiles, programmables, au moins pour une partie 
de leur conlenu Elles seront constituees par exemple 

55 ^ base de cellules mdmoires non volatiles du type EE- 
PROM avec un transistor k grille floUante dans le dis- 
positif de memorisation La memoire 9 qui cormporte le 
sysleme d'exploilation. sera normalement une memoire 
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non volatile obtenue par masquage Elle peul nean- 
moins Sire una memoire du type PROM qui peut etre 
programmee mais pas eftacee Eventuellement. la me- 
moire 9 pourra n*elre qu'une sous-partie. avec un adres- 
sage parliculier. de la memoire 7, de ta memoire 8 ou 
de f'ensemble de ces deux-la 

[0020] La memoire 9 comporte une partie 10 du sys- 
leme d*exploilation permeltant les acces les plus puis- 
sants dans le systdme repr^entd. La mdmoire 9 peul 
comporler parailleurs, une partie 11 de supervision don I 
ia potentialtte peut etre limil^e par rapport a ceile de la 
partie 10 En pratique les parties 10 et 11 ne sont pas 
g^ographiquement individualisees dans ta memoire 9 
Les Instructions qui y sont enreglstrdes subissent des 
fiilrages r^alisds par les circuits du microprocesseur qui 
autorise ou non leur execution En pratique, les instruc- 
tions utilisables en supervision sont des rnacro-inslruc- 
llons tizs instructions du systeme d'exploitation : leur 
nombr^. c:3i cependant limits et ia nature m§me de ces 
macro-inslruclions limile le mode de supervision tl se- 
rait n^nmoins envisageable de disposer d'un mode de 
supervision qui donne acc^s a toutes les fonctions du 
systeme d'exploitation de base 

[0021] D'une maniere pr^feree envisagee dans Tin- 
vent ion, les fonctions do supervision du systeme d'ex- 
ploitation seront des fonctions avec lesquelles ii sera 
possible cf ^rire ou d'etfacer dans la memoire 7 de pro- 
gramme, ators que, normalemenl, ceci n'est pas permis 
a un utilisateur El les seront egatement des fonctions 
avec lesquelles il sera possible de determiner des allo- 
cations dans la memoire de donnees 8. nolammeni par 
des adresses de depart et de fin Ai. Aj et Ak pour des 
donnees relatives a des applications A ou B et corres- 
pondant a des programmes PA et PB stockds dans ta 
memoire 7 

[0022] La memoire 8 comporte, notamment dans une 
partie 12 dans laquelle on ne peut pas ou plus, ecrire : 
le numero de serie de la carte, ie code fabiicant. le code 
Identite ou autres, ainsi qu'un jeu de codes d'acces dans 
une zone 13 de la partie 12 Hormis cette zone 13. les 
autres zones sont opti(^nelles dans f'inventbn 
[0023] La carte d ptice 1 est destin^e a etre mise en 
relation avec un lecteur 2 dont la structure fonctionnelle 
interne est sensiblement la m§me que celle de la carte 
1 En outre, le lecteur 2 possede un jeu de boutons de 
comnnande 1 4 et un Scian de visualisation 1 5 avec les- 
quets on peut contrUer et afflcher des commandes per- 
mettant la transaction avec la carte Le lecteur 2, selon 
rinvention, sera au minimum un lecteur Sldmentaire 
Dans un exemple. le lecteur 2 sera un lecteur du type 
lecteur de controle du nombre d*uniles telephoniques 
encore disponibles dans une carte tel^phonique (qui est 
une simple carte a memoire) Dans la pratique, il s'agira 
plus vraisemblablement d'un micro-ordinateur avec le- 
quel le prestatatre ou TulPisateur personnalisera la carte 
a puce 

[0024] La figure 2 montre les etapes essentlelles du 
procede de rinvention Au cours d'une premiere etape 



16. la carte a puce est conneclee au connecteur du lec- 
teur 2 II s'ensull un certain nombre d*operations. nor- 
malement gSrees par le systeme d'exploitation 1 0. con- 
sistant a verifier que ia mise sous tension du circuit in- 

s tegre est correcte, que la tension d'alimentation est cor- 
recie, que la frequence produile par Thorloge interne du 
microprocesseur 3 est correcte, et ainsi de suite Une 
fois que ces operations purement physiques ont ete Ian- 
cees, i'opSration de connexion se poursuit gSnerale- 

10 nnent par une operation 1 7 de reconnaissance L'opera- 
lion 17 de reconnaissance est une operation classique 
qui consisle a demander a un op^raleur, le preslataire 
ou un utilisateur, de composer un code secret Cette 
composition de code secret est comparee par le micro- 

is processeur 3 ^ un des codes secrets slockSs en zone 
13 La comparaison est complexe et comporte gdn^ra- 
lement le cfiiffrement du code pr6senl6 par un algorilh- 
me de type DES ou RSA param6ir6 par une clef de ses- 
sion Pour la simplicity de I'explicatton on peut ndan- 

20 moins admettre que la comparaison est directe 

[0025] SI cette comparaison est positive, la suite des 
operations peut se derouler Sinon, le microprocesseur 
se branche sur une instruction du systeme d'exploitation 
qui ne peut que provoquer Teohec de la transaction et 

25 qui refuse touto autre intervention En general, le nom- 
bre d*6chec est comptabtlise. et au bout d'un nombre 
llmite d'echecs. par exempie Irois, le systeme d'exploi- 
tation 10 provoque le basculement d'une Information 
dans la zone 13 de code d'acces pour verrou liter la car- 

30 te 

[0026] Le programme de verification du code secret 
peut etre contenu dans la partie 1 0 du systeme d'exploi- 
tation 9 Eventuellement. il pourrail etre stocke dans une 
partie de la memoire 7 mais cela necessiterail par 

3S atlleurs. de btoquer I'acc^s d cette partie de memoire 
[0027] Lorsque la reconnaissance a etS r^ussle. dans 
la mesure oil elle a ete lancee parce qu'elle n'est pas 
necessaire a rinvention. le microprocesseur 3 se met 
en une operation 18 en attente d'c^-dre En definitive, il 

"^0 attend un message provenanl du lecteur 2 Si le mes- 
sage qui provient du lecteur 2 est un message de re- 
quete de supervision ou un message analogue tendant 
a faire executer par le microprocesseur 3 les macro-ins- 
tructions de la partie 11 du systeme d'exploitation 9, on 

•75 6e trouve dans une configuration ou Tutilisateur ou ]e 
prestataire veut personnaliser la carte Aussi. dans un 
test 1 9. apr&s la phase 1 8 d'attente d*ordre. le micropro- 
cesseur 3 cherchera d savoir si rordre qu'il revolt est un 
ordre de supervision de la carte ou non Si ce n*est pas 

so (e cas. une suite du trailement sera lancSe dans une 
operation 20 Cette suite comporte d'autres tests et 
d'aulres operations 

[0028] Par contre. si c'ost lo cas. dans rinvention le 
microprocesseur 3 en execution d'instructions specifi- 
cs ques de son systdme d'expbitation 9. lancera un 
deuxi^me test 21 Le test 21 a pour objet de savoir si 

I'accds en mode supervision de ia carte est effeclu6 
pour la premiere fois ou non Si ce n'est pas la premiere 
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fois. ie systeme cTexploitation 10 demandera. en une 
operation 22. a ('operate ur d'indiquer Ie code secret 
d*acc&s en mode supervision (qui est different normate- 
ment du code secret de reconnaissance gen^rafe de 
I'etape 17) Si cetle reconnaissance se produit avec 
succes. Ie mode de supervision est ouvert dans une sui- 
te 23 d'operations Comme indique precedemmenl, cet- 
te suite d'operations 23 pourra comporter un telecfiar- 
gement d'une application PB dans la m6moire 7 Ce 16- 
lechargement peut etre effeclud k litre d'essai M pourra 
comporter une activation definitive d'une application qui 
aura ete telechargee provisoiremenl II pourra compor- 
ter par aitleurs la modification d'une application PA exis- 
tante Ce type d'operalion est connu dans I'etat de la 
technique 

[0029] Par contra, si I'acc&s en mode de supervision 
est effectue pour la premiere fois, la partie 10 du syste- 
me d'expioitalton 9 specifique a Hnvenlion va lancer une 
macro-instruction 24 La macro-instruction 24 comporie 
deux parties essentielles 

[0030] Premi^remenl eile va provoquer ta revelation, 
notamment. I'Sdltion. du code d'acc^s en supervision 
Par exemple. cette macro-instruction consistera a aller 
lire dans la zone 1 3 Ie code d'acces en supervision (ou 
en pcrsonnalisalion) et a rafficher sur Tecran 15 du lec- 
teur 2 Dans ce cas Toperaleur doil noter et conserver 
par-devers lui. Ie code secret d'acces edite Au besoin. 
on pourra pr^voir que cette edition resulle en une ins- 
cription de ce code d'acces dans un fichier contenu dans 
la m^morre B ou dans Ie lecteur 2 Par la suite. I'opera- 
leur pourrail acceder aussi souvenl qu'il Ie voudrait a ce 
fictnier pour connaitre son code d'acces en supervision 
(de programmation en personnalisation de la memoire 
7 et de la memoire 8) 

[0031] A Tissue de I'operation 24. etant donne que 
maffitenant I'operateur dispose du code secret d'acces. 
il pourra lancer a nouveau I'instruction 22 et la suite des 
operations 23 comme vu ci-dessus 
[0032] La macro-instruction 24 comporte par ailleurs. 
une deuxieme partie essentielle de complage En effet, 
pour savoir si faeces en supervision a deja ete elfectue, 
it faut ravoir prealablement comptS Aussi, dans la 
macro-instruction 24, organ isera-t-on un comptage Ce 
comptage peut etre limile a un Dans ce cas, on ne peut 
avoir acces qu'une seule fois par Ie lest 21 & la macro- 
instruction 24 qui provoque 1* edition du code d'acces en 
supervision Par centre, si Ie comptage est platonn6 d 
une valeur N. Ie test 21 lancera la macro- instruction 24 
lant que Ie comptage n'aura pas attaint cette valeur N 
Le resullal du comptage effectue par la macro-instruc- 
tion 24 sera par exemple stockee dans la memoire B 
dans une zone 1 3 protegee Pour resisler a la fraude. il 
est preferable que roporation do comptage soil preala- 
ble ^ Topdrateur d'ddition En effet. en agissant ainsi, on 
dvite de donner plus d'acces en supervision que pr6vu 
fl est connu en effet que les fraudeurs tentent de retirer 
ies cartes 1 des lecleurs 2 des qu'ils ont acquis Pinfor- 
mation qui ies interesse. avant que cette acquisition ne 



leur soit comptee Dans Tinvenlion on evile ceUe prati- 
que en comptabilisani Tedition avant meme de la lancer 
[0033] Tel qu'on I'a decrit. Ie test 21 est successif a un 
test 19 au cours duquel on cherchait a savoir si I'inter- 

5 venlton de I'operateur §tait une demande de mise en 
oeuvre tfun mode de supervision de la carte a puce ou 
non Ce mode est un mode pretere Cependant. il pour- 
rait etre envisage que le test 21 soit lance directement 
apres la phase 16 de connexion Dans ce cas. Popera- 

10 tion 24 editerait le code secret d'acces en supervision, 
en fonction du comptage a N. m§me si les vetl^Kes du 
prestataire ne sont pas ^ ce moment d'effectuer une per- 
sonnalisation de la carte 

[0034] L'enchalnemenl de la macro-instruction 22 sur 

IS la macro-instruction 24 pourra etre effectue soit en 
ayan! une Edition temporisSe si le code secret d'acces 
en supervision X Y Z est montre f ugitivement sur I'^cran 
1 5 du terminal 2, soil sous une forme positive en de- 
mandant un acquit (ex6cul6 sous la forme d'un appui 

20 sur une louche de validation ou d'une louche entree) a 
Toperateur avant de passer a la macro-instruction 22 
[0035] La figure 3 montre un mode pr^fere d*edition 
du code secret d'acces en supervision Oe prSfSrence, 
ce code d'acces en mode supervision sera chiffre Dans 

2S rexompiG, un algorithmo de chiff remcnt 25 permettra au 
fabricant de modifier le code secret d'acces 26 en fonc- 
tion d'une cl6 privee 27 detenue par le fabricant et que 
ce demier garde strictement confidentielle. De preferen- 
ce. Toperation de chiffrage 25 pourra comporter le chif- 

30 frage du code d'acces 26. du numero de serie 2B de la 
carte, ainsi que de celui du code ou du nom du fabricant 
29 Le mot code chiffre. et qui est sloe Ice dans le reglstre 
13 par Ie fabricant. comporte done d'une maniere impli- 
cite une information de code d'acces. Tinformation de 

3S numero de serie, et/ou I'information de references du 
fabricant. 

[0036] De ce fait, I'edition ultlme du code secret pro- 
voque au cours de la macro-instruction 24, presentera 
un code d'acces 30 chiffre Dans ce code d'acces chiffre, 

40 le code d'acces lui-meme, X Y Z. peut apparaltre en 
clair Mais il peut aussi etre suivi ou precede d'une suite 
de caracteres resultant du chiffrage par Palgorithme 25 
Ou bien, le code d'acces X Y Z sera tui-meme chiffre et 
n'apparaUra pas en clair Dans ce cas, son ^ition 31 

-^s ne permettra pas de determiner en elle-m§me. le code 
d'acces de supervision 

[0037] Dans ce dernier cas. dans une machine 32 de 
dechiffrage, on mettra en oeuvre un algorithme de de- 
chiffrage du contenu de ce qui a ete editd a I'instruction 

so 24 (le code 30 avec le code X Y Z en clair et les carac- 
teres suppidmentaires. ou le code 31 chiffre) Ce dechif- 
frage sera lui-meme parametre par une cle publlque 33 
La clo publiquc 33 est associeo a ta do privoo 27 Ello 
permet selon le code 30 ou le code 31 introduit. de pro- 

ss duire un message de coherence 34 ou le code d'accds 
en mode de supervision 35. lul-meme en clair, respec- 
tivement 

[0038] Par exemple ie message de coherence 34 
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pourra comporter ia revelation du nom du fabricant 
Dans la mesure ou ce (abricanl esl un (abncani connu. 
el ou par example son nom apparail sur un graphisme 
imprime sur la carle a puce, le preslataire ou plus ge- 
neralemeni Tutitisaieur peut authenUfier la provenance 
de ia carte d puce quil a achetee el non pas se satisfaire 
seulement du graphisme apparent sur la carle En effet, 
il faul absolument empdcher que des syst^mes dexptoi- 
talion 10, imagines pardesescrocs, puissenl provoquer 
a un moment donne. la communication (nolammenl par 
des voies de communtcaiion en transmission) de codes 
secrets de carte Cetle communication permettrail ainsi 
a ces escrocs de les utiltser frauduleusemenl Ainsi. si 
te nom du fabricant 29 a ele chiffrS par ia cle privee 27 
dans Talgorithme 25. ce nom apparail. d'une manifere 
impticite. dans les messages 30 ou 31 Le dechiflrement 
par la cle publique 33 dans la machine 32 provoquera 
t'edilion du nom du veritable fabricant 11 esi Evident 
qu*un (raudeur. s'il ne possMe pas la bonne cl6 privee. 
ne peul stocker dans ia carte que des messages 30 ou 

31 incoherents L'utilisateur ou le preslataire qui se pro- 
cure alors la cle publique. par exemple par connexion 
sur le sila Internet du fabricant. ne verra pas apparallre 
le nom du (abricanl que cette cle publique devrail per- 
mettre do reveler En effet cello clef publique ne va pas 
correspondre a la cle privde ulitlsee par le f raudeur puis- 
que cetui-ci ignore la clef privee secrete detenue par le 
f abricanl En outre, si au lieu de provoquer Teditlon d'un 
message 30 comporlant le code d'acces en clair Talgo- 
rilhme 25 provoque Tedilion d'un message 31 dans le- 
quei ie code d*acces est chiffre. le code qu'ii finira par 
obt&iir dans le message 35. n'aura aucune raison de 
convenir k la carte concemSe Celle-ci sera done per- 
due 

[0039] La mis e en oeuvre de I'algorithme 25 esl effec- 
luee chez le fabricant La mise en oeuvre du dechiffrage 

32 peut etre effecluee dans le iecleur 2. En variante. 
elle peut etre effecluee par le microprocesseur 3 qui 11- 
rait alors les instructions necessalres a eel algorllhme 
32 dans la partte 10 de la memoire 9 du sysl&me d'ex- 
pioitatbn Les algorillimes 25 el 32 peuvent par ailteurs 
ne pas concemer du loul le code d'acces Ainsi un fa- 
bricant connu peut livrer des paires message a chiffrer 
- message en clair. SI la carte est une carte authentique. 
si elle comporte ralgorlthme 32 du fabricant, le deciiil- 
frage du message a chiffrer donnera ie message en 
clair L'utilisateur pourra alors se convaincre que sa car- 
le esl authentique Afin de ne pas f raglfiser i'algorilhme 
vis-6*vis de son decryptage, le nombre de paires pourra 
etre limite En variante. les operations d -^gure 3 peu- 
vent etre faites en dehors de la carte, c:. . ..xemple sur 
un site Internet 

[0040] Au besoin, commo pour les codes de recon- 
naissance, le code d'acces en supervision peut etre mo- 
difie par rutilisateur a sa convenance De plus, lorsque 
le code d'acc^ est edile dans un fichier, on peut effec- 
luer un verrouillage de ce fichier. pour en interdire defi- 
nitivemenl I'acces ou pour auloriser Tacces d ce fichier 



sous certatnes conditions 



Revendicatlons 

5 

1 . Procedd de personnaiisation dune carte ( 1 ) a puce 
dans lequel 

on munil ia carle a puce d'une lonction ( 1 1 ) de 
10 supervision, 

on protege (22) I'acces a cetle fonclion par une 
verification d'un code d'acces, 
on relie un terminal (2) de commande a ia carte 
k puce, el 

75 - on met en oeuvre (11) la fonclion de supervi- 
sion pour personnaliser la carte ^ puce. 

caraclerise en ce que 

20 • on teste (21 ) une liaison de ia carle a puce au 
terminal pour savoir s'il s'agil d'une premiere 
liaison, el 

si c'est une premiere liaison, on revele (24) un 
code d'acces de supervision de la carte a puce 

25 

2. Proc^e seion la revendication 1 , caraclerise en ce 
que. pour le test de la liaison de la carte ^ puce au 
terminal, 

30 • on appelie avec le terminal une fonclion de su- 
pervision de la carte a puce, 
on teste I'appel (1 9) de ta fonclion de supervi- 
sion pour savoir s'il s'agit d'un premier appel de 
cette fonclion de supervision, el 

35 . si c'est un premier appel, on €dile le code d'ac- 
ces de supervision 

3. Procede selon I'une des revendicatlons 1 a 2, ca- 
ract^risd en ce que 



40 



45 



on compte le nombre de premieres liaisons, et 
on cesse d*editer le code d'acces lorsque ce 

nombre atteint une valeur donnee (N) preenre- 
glstrde (13) dans la carte 

Procede selon la revendication 3 caraclerise en ce 
que 



on complabilise prSalablemeni le nombre de 
so premieres liaisons puis on edite le code d'acces 

lorsque le nombre comptablltse est inferieur a 
la valeur preenregistree 

5. ProcSdd selon I'une des revendicatlons 1 a 4, ca- 
55 racterisd en ce que 

on edite le code d'acces (X Y Z) sur un ecran 
(15) du terminal 



6 



BNSDOCID: <EP p9S746iA1^l_» 



11 



BP 0 957 461 A1 



6. Procedd selon Tune des revendications 1 a 5. ca- 
ractdrise en ce que 

on edile le code d'acces dans un fichier de ia 
carte a puce et ou du terminal ^ 

7. Precede selon la revendicalbn 5, caracterise en ce 
que 

on verrouille I'acces au fichier apres consulla- 
tion 

8. Proced^ selon Tune des revendications 1 a 7, ca- 
racterise en ce que 

75 

on chiffre le code dracoes de supervision pour 
en consul uer une coherence 
el on le dechlffre apres edition pour en verifier 
la coherence 

9. Procede selon Tune des revendications 1 a 8, ca- 
racterise en ce que 

on met en oeuvre la fonclion de supervision, et 
on modifio le code d'acccs 

10. Procdde selon Tune des revendications 1^9 carac- 
t^ris^ en ce que 

on compose (14) avec le terminal un code d'ac- 
ces a cette fonclion de supervision, et. en cas 
de succes. 

on met en oeuvre la fonctton de supervision 
pour personnaliser ia carte 

35 



40 
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